Ruben TalmanRuben Talman

Wat is het verschil tussen NIS2 en DORA?

29 juni 08:00
6 min.
Op deze pagina
Op deze pagina

NIS2 en DORA zijn twee verschillende Europese regelgevingen op het gebied van cybersecurity, maar ze richten zich op verschillende sectoren en hebben andere verplichtingen. NIS2 is een brede richtlijn voor organisaties in kritieke sectoren zoals ICT, energie en zorg. DORA is een specifieke verordening die uitsluitend geldt voor de financiële sector. Hieronder beantwoorden we de meest gestelde vragen over het verschil tussen beide.

Voor welke organisaties geldt NIS2 en voor welke DORA?

NIS2 geldt voor organisaties in kritieke en belangrijke sectoren zoals ICT-dienstverlening, energie, transport, gezondheidszorg en drinkwater. DORA geldt uitsluitend voor financiële instellingen, zoals banken, verzekeraars, beleggingsondernemingen en hun digitale dienstverleners. De twee regelgevingen overlappen elkaar niet qua doelgroep, maar een organisatie kan onder beide vallen als zij actief is in de financiële sector én ICT-leverancier is voor andere sectoren.

NIS2 maakt onderscheid tussen essentiële en belangrijke entiteiten. Essentiële entiteiten zijn grote organisaties in de meest kritieke sectoren. Belangrijke entiteiten zijn middelgrote bedrijven in dezelfde of aanverwante sectoren. Voor het MKB is het relevant om te weten dat je ook indirect onder NIS2 kunt vallen: als je klanten hebt die wél onder de wet vallen, kunnen zij eisen stellen aan jouw beveiligingsniveau via de ketenverantwoordelijkheid.

DORA, voluit de Digital Operational Resilience Act, richt zich specifiek op de digitale weerbaarheid van de financiële sector. Naast banken en verzekeraars vallen ook ICT-leveranciers die kritieke diensten leveren aan financiële instellingen onder DORA. Denk aan cloudproviders of softwareleveranciers die essentieel zijn voor de bedrijfsvoering van een bank.

Wat zijn de concrete verplichtingen onder NIS2 versus DORA?

Onder NIS2 zijn organisaties verplicht een risicoanalyse uit te voeren, technische en organisatorische beveiligingsmaatregelen te treffen en significante incidenten binnen 24 uur te melden bij de bevoegde toezichthouder. DORA gaat verder op het gebied van operationele weerbaarheid en vereist aanvullend periodieke tests van digitale systemen, gedetailleerde contractuele afspraken met ICT-leveranciers en een uitgebreid beheer van ICT-risico’s.

De verplichtingen per regelgeving op een rij:

  • NIS2: risicoanalyse en beveiligingsbeleid, technische maatregelen zoals MFA en encryptie, incidentmelding binnen 24 uur, ketenverantwoordelijkheid naar leveranciers
  • DORA: ICT-risicobeheerraamwerk, testen van digitale weerbaarheid (inclusief penetratietests), beheer van derde partijen en ICT-leveranciers, rapportage van ernstige ICT-incidenten

Een belangrijk verschil is ook de juridische vorm. NIS2 is een richtlijn, wat betekent dat elk EU-land deze vertaalt naar nationale wetgeving. In Nederland wordt dit de Cyberbeveiligingswet, die naar verwachting in het tweede kwartaal van 2026 in werking treedt. DORA is een verordening en geldt direct in alle EU-landen zonder nationale vertaalslag. Dat maakt DORA eenduidiger en uniformer in de uitvoering.

Voor organisaties die hun ICT-beveiliging willen versterken, bieden beide regelgevingen een goede structuur om beveiligingsmaatregelen systematisch aan te pakken.

Wat gebeurt er als je niet voldoet aan NIS2 of DORA?

Niet voldoen aan NIS2 kan leiden tot boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Bij DORA kunnen financiële toezichthouders zoals De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM) handhavend optreden met boetes en aanwijzingen. Onder beide regelgevingen kunnen bestuurders persoonlijk aansprakelijk worden gesteld.

Naast financiële sancties zijn er ook reputatierisico’s. Organisaties die een beveiligingsincident niet tijdig melden of aantoonbaar onvoldoende maatregelen hebben getroffen, riskeren reputatieschade bij klanten en partners. In sectoren waar vertrouwen centraal staat, zoals zorg en financiën, kan dit vergaande gevolgen hebben voor de bedrijfscontinuïteit.

Het is ook goed om te weten dat toezichthouders niet alleen reageren op incidenten. Zowel onder NIS2 als DORA kunnen organisaties proactief worden gecontroleerd op naleving, zonder dat er eerst iets mis hoeft te gaan.

Moet een bedrijf aan zowel NIS2 als DORA voldoen?

De meeste bedrijven hoeven slechts aan één van de twee te voldoen. NIS2 en DORA zijn ontworpen voor verschillende sectoren en overlappen elkaar in de praktijk weinig. Alleen organisaties die zowel actief zijn in de financiële sector als in een andere kritieke sector die onder NIS2 valt, kunnen te maken krijgen met beide regelgevingen tegelijk.

Een concreet voorbeeld: een ICT-bedrijf dat kritieke diensten levert aan banken én aan ziekenhuizen, kan onder zowel DORA (als leverancier aan de financiële sector) als NIS2 (als ICT-dienstverlener in een kritieke sector) vallen. In dat geval is het verstandig om de verplichtingen naast elkaar te leggen en te kijken waar ze overlappen, zodat je niet dubbel werk doet.

In de meeste gevallen geldt voor het MKB dat NIS2 de relevante regelgeving is. DORA speelt vooral een rol voor bedrijven die direct of indirect diensten leveren aan financiële instellingen.

Hoe bereid je je organisatie voor op NIS2 of DORA?

De eerste stap is bepalen of en onder welke regelgeving je organisatie valt. Daarna breng je de huidige beveiligingssituatie in kaart via een risicoanalyse. Op basis daarvan stel je een plan op voor de maatregelen die nodig zijn, zoals toegangsbeheer, monitoring, patchbeheer en incidentrespons. Zorg ook dat je processen hebt voor het tijdig melden van incidenten.

Concrete stappen om mee te beginnen:

  1. Bepaal of je organisatie onder NIS2, DORA of beide valt
  2. Voer een risicoanalyse uit op je IT-omgeving en kritieke processen
  3. Stel technische maatregelen in zoals MFA, encryptie en monitoring en updates
  4. Leg beveiligingsbeleid en procedures schriftelijk vast
  5. Train medewerkers op bewustwording en incidentmelding
  6. Controleer ook de beveiliging van je leveranciers en partners

Voor organisaties die werken met Microsoft 365 biedt het platform al veel ingebouwde beveiligingsfuncties die helpen bij naleving. Denk aan Intune voor apparaatbeheer, Conditional Access voor toegangsbeleid en Microsoft Defender voor dreigingsdetectie. Door deze tools goed in te richten, leg je een stevige basis voor zowel NIS2 als DORA compliance.

Wie verder wil kijken naar een bredere beveiligingsaanpak, kan ook ISO 27001 als referentiekader gebruiken. ISO 27001 begeleiding helpt organisaties om informatiebeveiliging structureel te borgen, wat goed aansluit bij de eisen van NIS2.

Hoe IT Aanspreekpunt helpt met NIS2 en DORA compliance

Wij begrijpen dat wetgeving zoals NIS2 en DORA veel vragen oproept, zeker als je je als ondernemer wilt focussen op je kernactiviteiten. Wij ontzorgen je volledig in het traject naar compliance, van de eerste risicoanalyse tot de technische implementatie van beveiligingsmaatregelen.

Wat wij voor je doen:

  • Bepalen of en hoe NIS2 of DORA op jouw organisatie van toepassing is
  • Uitvoeren van een risicoanalyse en gap-analyse van je huidige IT-omgeving
  • Implementeren van technische maatregelen zoals MFA, encryptie en toegangsbeleid via Microsoft 365 beveiliging
  • Inrichten van monitoring en patchbeheer zodat je altijd up-to-date bent
  • Opstellen van beleid en procedures voor incidentmelding en ketenverantwoordelijkheid
  • Ondersteunen bij rapportage en documentatie richting toezichthouders

Zo werk je niet alleen aan wettelijke naleving, maar versterk je tegelijkertijd je concurrentiepositie. Aantoonbare digitale veiligheid wordt steeds vaker een vereiste in contracten en inkoopvoorwaarden. Neem contact met ons op en ontdek hoe wij jouw organisatie klaarstomen voor NIS2 of DORA.

Ruben Talman

Ik help je
graag verder

Neem contact op

Bel mij terug

"*" geeft vereiste velden aan

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

Hoe kunnen we je helpen?

Neem vrijblijvend contact met ons op en ontdek hoe wij jouw IT zorgen wegnemen.

"*" geeft vereiste velden aan

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

0532032153Mail ons